Aracılığıyla paylaş


Veri ve günlük dosyalarının güvenliğini sağlama

The SQL Server sets file access permissions on the physical data and log files of each database to specific accounts.İzinleri açık izinleri olan bir dizinde bulunması gereken üzerinde oynama gelen dosyaları engeller.İzinleri değildir, örneğin, küme ve işletim sistemi izinleri veritabanı dizini küme için Tam Denetim herkes için bu dizine erişimi olan herhangi bir hesabı silebilir veya olabilirler rağmen veritabanı dosyalarını değiştirmek SQL Server veritabanını değiştirmek için izinleri.

Dosya erişim izinlerini herhangi aşağıdaki veritabanı işlemleri sırasında küme: oluşturma, ekleme, ayırma, yedekleme, yeni bir dosya ekleme, değiştirme veya geri yükleme.

Yönetimle ilgili önemli noktalar

  • İzinler küme yalnızca dosya sistemi Win32 erişim denetimini destekliyorsa, örneğin ntfs dosya sistemi.The Veritabanı Altyapısı cannot set permissions on files stored on raw partitions or the FAT and FAT32 file systems.

  • İşletim sistemi yöneticisi dosya izinlerini el ile değiştirir, Veritabanı Altyapısı değil deneyin zorunlu özgün izinleri.

  • If the SQL Server (MSSQLSERVER) service account is changed by using SQL Server Management Studio, Management Studio tries to add the account and correct permissions to all existing database files.At kullanılamaz veritabanları için başarısız olabilir saat hizmet hesabı değiştirilir.

  • Microsoft Windows Services kullanarak mssqlserver hizmeti hesabı değiştirilirse, işletim sistemi yöneticisi yeni hizmet hesabı vermek Tam Denetim tüm veritabanı ve günlük dosyaları için izinleri.

Veritabanı oluşturma veya yeni bir dosya ekleme

mssqlserver hizmet hesabı ve yerel Administrators grubunun üyeleri bir veritabanı oluşturulmuş veya değiştirilmiş yeni bir dosya eklemek için verilen Tam Denetim access veri ve günlük dosyaları.Dosya erişimi, diğer tüm hesaplar için kaldırılır.

Yedekleme ve geri yükleme veritabanı

Tam Denetim içine geri yükleme veya yedek için oluşturulan dosyadaki izinleri verilen mssqlserver hizmet hesabı ve yerel Administrators grubunun üyeleri.

Dosya zaten var ve mssqlserver hizmet hesabı izinleri ve dosyanın zaten, yedek veya geri yükleme işlemi devam eder.Aksi takdirde, Veritabanı Altyapısı taklit Windows hesabı bağlantısı işlemi gerçekleştirme ve çalışır açın dosya.Dosyayı açtıktan sonra mssqlserver hizmet hesabı ve yerel Administrators grubu üyeleri için izinler verilir.

Yedek dosyaları (geri alma alma dosyaları) aynı şekilde davranılır.

Ayırma ve bir veritabanı iliştirme

Ayırma veya bir veritabanını iliştirmek Veritabanı Altyapısı bağlantının gerçekleştirerek operasyona garanti olduğunu hesabı vardır izni erişim veritabanı ve günlük Windows hesabını taklit çalışırdosyaları. Karışık güvenlik için hesapları kullanan SQL Server oturumları, kimliğe bürünme olabilir başarısız olur.

Güvenlik notuGüvenlik Notu

Bilinmeyen veya güvenilmeyen kaynaklardan gelen veritabanlarını eklemeyin öneririz.Bu tür veritabanları olabilir kötü niyetli kod içerebilecek yürütmek istenmeyen Transact-SQL kod ya da neden hata değiştirerek şemayı veya fiziksel veritabanı yapısı.Güvenilmeyen veya bilinmeyen bir veritabanından kullanın önce kaynak, çalışma dbcc checkdb bir benzerini sunucusundaki veritabanında ve ayrıca saklı yordamlar veya başka bir kullanıcı tarafından tanımlanan kod, veritabanı gibi bir kodu inceleyin.

Aşağıdaki tablo izinleri küme veritabanı ve günlük dosyalarını bir Ekle sonra veya ayırma işlemi gösterir tamamlandıktan ve kullanılıp bağlanan hesap özellikleri tarafından Veritabanı Altyapısı.

İşlem

Hesap bağlama özellikleri

Dosya izinleri verilir

Ayır

Evet

İşlemi yalnızca hesap.Veritabanı ayrılmadan sonra gerekirse, ek hesap işletim Sistem Yöneticisi tarafından eklenebilir.

Ayır

Hayır

The SQL Server (MSSQLSERVER) service account and members of the local Windows Administrators group.

Ekle

Evet

The SQL Server (MSSQLSERVER) service account and members of the local Windows Administrators group.

Ekle

Hayır

The SQL Server (MSSQLSERVER) service account.

Senaryo

İzinler aşağıdaki senaryoyu gösterir küme ne zaman bir veritabanı oluşturulur ve veritabanı ilişkisi kesildi bağlı ve olduğunda değiştirilebilir.

Kullanıcı1, üye dbcreator sabit sunucu rolü veritabanı oluşturur Satış , dosyaları e:\Data\Sales.mdf ve f:\Log\Sales.ldf vardır.En saat mssqlserver hizmet hesabı veritabanı oluşturulur, SQLServiceAccount2, bir yerel hesap.Tam Denetim veritabanı ve günlük dosyaları izinlerini verilen SQLServiceAccount2 ve Windows Yöneticiler grubunun üyeleri.

Bir taşıma kararı verilir Satış başka örnek veritabanına SQL Server aynı sunucu.Admin3, üye sysadmin sabit sunucu rolü, veritabanını ayırır.The Veritabanı Altyapısı sets the permissions on the Sales.mdf and Sales.ldf files so that only the Admin3 account has permissions to access the files.

Admin3 bağlanır diğer örnek , SQL Server, SalesServer.mssqlserver hizmet hesabı için SalesServer örnek olan SQLSalesServiceAccount.Admin3, bir SQL Server yönetici bu örnek, ekler Satış veritabanı.Tam Denetim izin verilen SQLSalesServiceAccount ve Windows Yöneticiler grubunun üyeleri.